Некоторые могут сказать, что это даже не прокси-сервер, однако, по мнению многих специалистов, имевших опыт работы с платформой, – это кое-что более значительное. И они будут правы, ведь pfSense фактически представляет собой не что иное, как дистрибутив на базе «FreeBSD», у которого открыт исходный код. При этом он может успешно выполнять функции брандмауэра и распределять трафик клиентам.
К неоспоримому преимуществу следует еще отнести и интуитивно понятный веб-конфигуратор, невероятную гибкость настроек и содержание большого количества функций, которые значительно увеличивают применимость платформы без риска появления слабых мест в защите системы. И это без наращивания ее объема.
Основные преимущества и функции
Не редки ситуации, когда финансов хватает лишь на оборудование и комплектующие, а систему требуется в кратчайшие сроки обеспечить высокой функциональностью и без дополнительных вложений в программное обеспечение.
В качестве оптимального решения для выхода из подобной ситуации уже привычно выступает «Pfsense». Этот сетевой экран на основе «FreeBSD» абсолютно бесплатен и прост в эксплуатации.
Так как каждый желающий ознакомиться с полным перечнем выдающихся способностей этого ПО всегда может посетить источник его разработчика по адресу «www.pfsense.org», то здесь перечислим только основные его функции:
- Обеспечение безопасности (фаерволл);
- Простой веб-конфигуратор, доступный для работы посредством браузера;
- Мастер установки;
- Функция маршрутизации данных через вайфай;
- NAT (трансляция адресов);
- Удобная корректировка файлов через веб-конфигуратор;
- Регулировка трафика между группами в одной локальной сети;
- Создание резервных копий для восстановления конфигурации из меню настроек;
- Указание отдельной полосы для конкретного вида трафика;
- Прокси-сервер;
- VPN — PPTP, OpenVPN, IPsec;
- PPPoE-сервер;
- Динамический DNS;
- Наглядное изображение нагрузок;
- Возможность настройки через командную строку и многое другое.
Процедура установки
К достоинствам платформы можно отнести и низкую требовательность к аппаратным составляющим. Успешная установка и дальнейшая работа «pfSense» возможна даже на маломощном ПК, самостоятельно собранном из залежалых на складе комплектующих.
В нижеприведенном примере задействован одноядерный компьютер с ОЗУ объемом лишь 512 Mb и винчестером на 80 Gb. На ПК установили, дополнительно к встроенной, еще одну сетевую карту, в результате их стало две.
Предварительные мероприятия
Чтобы сделать возможной инсталляцию платформы, сначала следует исполнить следующие действия:
- Посетив «www.pfsense.org», загрузить ПО;
- Далее кликнуть «Установить»;
- Затем указать параметры ПК, платформу и консоль;
- Сохранив архив с ПО в памяти компьютера, извлечь из него образ;
- После этого рекомендуется записать его на USB-носитель (будет достаточно флешки даже объемом 1 Gb) с применением утилиты «RosaImageWriter»;
- Установить носитель в USB-порт ПК;
- Запустить компьютер с флешки;
- Подготовительные мероприятия успешно выполнены, теперь можно приступить к установке.
Этап 1
Первая стадия инсталляции состоит из последовательных шагов:
- После отображения приветственного меню сразу щелкнуть «Ввод»;
- Далее клацнуть по «I» (причем как можно быстрее, т. к. время на исполнение дается не более 10 секунд);
- Выделить пункт «Accept these Settings»;
- Клацнуть «Ввод»;
- Отметить строку «Quick/Easy Install»;
- Вновь кликнуть «Enter»;
- Щелкнуть «Ok» (здесь следует учесть, что программа установится и при этом удалит все файлы на винчестере. \*Если на нем было сохранено что-то важное, то до нажатия «Ок» еще не поздно все скопировать на другой носитель);*\
- Затем выбрать «Standard Kernel»;
- На этом первая стадия заканчивается, и отобразится последнее указание этапа, что надо перезапустить ПК. Для этого просто щелкнуть «Ввод» (внимание: когда компьютер будет в отключенном состоянии, необходимо убрать из USB-порта внешний носитель с программой);
Этап 2
Когда ПК перезапустится, следует исполнить по порядку следующие шаги:
- В отобразившемся меню с вопросом о настройке «VLAN» кликнуть «n»;
- Затем нажать «Ввод»;
- Чтобы указать программе назначение сетевых карт (одну использовать в качестве «WAN», а другую – «LAN»), требуется знать, какой идентификатор присвоен каждой из них. Понадобится отключить от них провода и кликнуть «Ввод»;
- Далее программа потребует установить кабель «WAN» (при этом должен засветиться диод в разъеме). Если отобразится оповещение «ste0: link state changed to UP», то это означает, что идентификатор Интернет-порта «ste0». Клацнуть «Ввод»;
- После этого аналогичную процедуру выполнить с LAN;
- ПО произведет анализ и покажет сведения. Здесь следует согласиться и кликнуть «Ввод»;
- На мониторе появится меню с информацией о назначениях сетевых карт, DHCP и адресах;
- Щелкнуть «Ввод».
Заключительный этап
Последняя ступень сводится к таким настройкам:
- В последнем появившемся меню кликнуть «2»;
- Клацнуть на «Enter»;
- Указать «LAN», с этой целью нажать «2»;
- «Ввод»;
- Задать «ай-пи». Затем вновь щелкнуть «Enter»;
- Указать маску;
- «Ввод»;
- Далее требуется выполнить настройки шлюза, который будет использоваться для интернет-порта;
- В случае когда IPv6 не требуется, то можно сразу кликнуть «Ввод»;
- В следующем экране активировать DHCP, нажав «Y»;
- «Enter»;
- Указать диапазон адресов;
- Снова нажать «Ввод»;
- В следующем меню кликнуть «n»;
- «Ввод»;
- Ура! Отобразился адрес веб-интерфейса;
- «Enter»;
- Перезапустить компьютер;
- Щелкнуть 5 и «Ввод»;
- Нажать кнопку «Y» и потом снова «Enter»;
- Готово.
Как настроить?
После успешной инсталляции следует не менее важная стадия настройки платформы pfSense. Потребуется исполнить следующие действия:
- Запустить веб-обозреватель и пройти по адресу, заданному при инсталляции (в нашем примере «192.168.2.3»);
- Код доступа и имя для авторизации: «pfsense» и «admin»;
- Сразу отобразится мастер для помощи ввода параметров, рекомендуется его не использовать, а кликнуть на «pfSense»;
- После этого отобразится веб-конфигуратор;
- Открыть закладку «Status»;
- Далее перейти в раздел «Interfaces»;
- Затем пересесть за один из ПК в локальной сети и сделать попытку пингования pfSense по «192.168.0.50». По некоторым причинам это будет безуспешно, хотя пока еще даже не установлено ни одного запрещающего правила;
- Запустить на этом локальном ПК командную строку и задать бесконечный пинг, например, «ping 192.168.0.50 –t». Будут отображаться оповещения: «Превышен интервал ожидания для запроса»;
- Потом расположить монитор этого ПК так, чтобы было его видно, и перейти к клиенту;
- Проследовать в раздел «System»;
- Затем – во вкладку «Advanced»;
- Открыть «Firewall/NAT»;
- Установить отметку в графе «Disable Firewall» на пункт «Disable all packet filtering»;
- Кликнуть «Save»;
- Обратить внимание на запущенный пинг и убедиться, что он пошел. Это фаерволл не позволял пинговаться. Если установить обратно отметку в вышеуказанном 13-ом пункте инструкции и щелкнуть «Сохранить», то пинги должны исчезнуть;
- Перейти на вкладку «Status»;
- Перейти в «System Logs»;
- Далее – в раздел «Firewall»;
- Отобразится меню с заблокированными пакетами;
- Кликнуть на крестик в графе того из них, который соответствует нашему;
- Отобразится информация, из которой становится понятна причина проблемы;
- Поискав в интернете пути устранения возникшей сложности по запросу «Block private networks from WAN block 192.168/16», можно быстро выяснить пути выхода из сложившейся ситуации;
- Переместиться в закладку «Interfaces»;
- Войти в «WAN»;
- Далее в «Private networks» убрать отметку с графы «Block private networks»;
- Кликнуть «Save»;
- Щелкнуть на «Apply changes»;
- Если пинг не идет, то вновь войти в раздел «Status»;
- Затем – в закладку «System Logs»;
- В «Firewall» кликнуть по крестику у появившегося нового пакета;
- Щелкнуть «Ok» и в разделе «Firewall» открыть вкладку «Rules»;
- Далее, перейдя в «WAN», клацнуть на иконку в виде «+» и указать исключение из правил для ICMP-пакетов;
- Подтвердить твердость своих намерений. Теперь пинг пойдет без проблем;
- Далее рекомендуется это новое правило подкорректировать, чтобы оно стало более универсальным. Кликнуть «e»;
- Установить в графах «Sourse» и «ICMP type» значение «any»;
- В «Destination» выставить «WAN address»;
- Щелкнуть «Сохранить» и затем «Применить изменения».
Настройка времени
Обычно программа некорректно отображает часы и минуты. В случае если здесь все нормально и время везде правильное, то можно просто пропустить этот раздел и сразу перейти к выполнению следующего.
Необходимо произвести шаги:
- Открыть «System»;
- Перейти в раздел «General Setup»;
- Установить «Hostname»;
- Прописать свой «Domain»;
- Определить соответствующую временную зону в разделе «Time zone»;
- Клацнуть «Сохранить»;
- Готово. Чтобы удостовериться в точности указываемого времени, можно на вкладке «Status» открыть «Dashboard», где в графе «Current date/time» отображается дата и время.
Пример настройки для L2TP
Если провайдер поддерживает этот тип протокола, то необходимо выполнить следующие действия:
- Запустить веб-конфигуратор и открыть вкладку «VPN»;
- Перейти в раздел «L2TP» и активировать его, установив «Enable L2TP server»;
- Затем в «Server Address» прописать 192.168.33.252 (может отличаться);
- Указать «Remote Address Range»;
- Далее для «Subnet Mask» установить «24»;
- Затем определить максимальное число пользователей, способных соединиться с pfSense в разделе «Number of L2TP Users», например, ввести значение «5»;
- Установить «CHAP» во вкладке «Authentication Type»;
- Клацнуть «Сохранить».
Конфигурируем прокси в «пфСенсе»
Чтобы пользователей обеспечить доступом в глобальную сеть, используя proxy-сервер, и контролировать их трафик, потребуется исполнить следующие шаги:
- Войти в закладку «System»;
- Затем – в «Packages»;
- В разделе «Available Packages» установить пакеты «Squid», а также с целью обеспечения возможности контроля за объемом скачиваемого трафика пользователями – «Lightsquid»;
- Войти в «Services»;
- Далее открыть вкладку «Proxy server»;
- Указать «LAN» и установить отметку в графу «Allow users on interface»;
- Затем – галочки в пункте «Transparent proxy» и «Enable logging»;
- Рекомендуется не изменять директорию сохранения данных статистики «Log store directory»;
- В «Log rotate» прописать значение «62»;
- Щелкнуть «Сохранить».
Создание сервера OpenVPN
С этой целью потребуется настроить CA:
- Снова войти в закладку «System»;
- После чего – в «Cert Manager»;
- Прописать: наименование, размер ключа, алгоритм и время жизни;
- Далее интегрировать шлюз с Active Directory, для этого в закладке «System» открыть раздел «User Manager» и в «Servers» прописать диапазон поиска, адрес, учетки и т. д. После чего на этом этапе действий уже допускается разрешить юзерам пользоваться всемирной паутиной;
Примечание: чтобы экспортировать параметры «OpenVPN» в машины и девайсы с различными ОС, следует воспользоваться пакетом «OpenVPN Client Export Utility».
- Далее снова перейти в раздел «Cert Manager»;
- Здесь для всех клиентов и для сервера «VPN» создать сертификат;
- Установить режим «Remote Access (SSL/TLS + User Auth)»;
- Указать порт, сертификат, сервер аутентификации и требуемые настройки для шифрования Можете, конечно, здесь оставить все как есть, но рекомендуется самостоятельно выставить оптимальные настройки;
- После этого можно указать, следует ли выдавать клиенту DNS, и т. п.;
- Кликнуть «Save»;
- Войти в закладку «client export» и отправить настройки.
Заключение
Если проявить терпение и усидчивость, то интерфейс покажется удобным и не вызовет особых сложностей при настройке.
Но если нет достаточного опыта работы с параметрами сетей, то рекомендуется использовать встроенный в платформу специальный помощник «Wizard» (мастер быстрой настройки).
Он послужит отличным подспорьем для начинающих администраторов систем, следует просто внимательно исполнять его требования и рекомендации.
